Segurança de complementos

Esta página detalha os requisitos de segurança para complementos de terceiros precisam cumprir.

Restrições de origem

Uma origem é um URL com um esquema (protocolo), host (domínio) e porta. Dois URLs têm a mesma origem quando compartilham o mesmo esquema, host e porta. Sub-origens são permitidas. Para mais informações, consulte RFC 6454.

Esses recursos compartilham a mesma origem, pois têm o mesmo esquema, host e componentes de porta:

  • https://www.example.com
  • https://www.example.com:443
  • https://www.example.com/sidePanel.html

As seguintes restrições são aplicadas ao trabalhar com origens:

  1. Todas as origens usadas na operação de o complemento precisa usar https como protocolo.

  2. O campo addOnOrigins no complemento manifesto precisa ser preenchida com as origens do complemento usando.

    As entradas no campo addOnOrigins precisam ser uma lista de hosts de CSP fonte valores compatíveis. Por exemplo, https://*.addon.example.com ou https://main-stage-addon.example.com:443. Recurso caminhos não são permitidos.

    Essa lista é usada para:

  3. Caso seu aplicativo use navegação por URL dentro do iframe, todas as origens que estão sendo navegadas precisam ser listados no campo addOnOrigins. Observe que subdomínios com caracteres curinga são permitidos. Por exemplo, https://*.example.com. No entanto, não recomendamos o uso de caracteres subdomínios com um domínio que não é da sua propriedade, como web.app, que pertence a Firebase.